Alegeți ardei în același mod în care alegeți cheile criptografice: utilizați CSPRNG al sistemului de operare pentru a genera un ardei de 16-32 de octeți (128-256 de biți).
Dacă sistemul dvs. are un modul de securitate hardware (HSM) sau o enclavă securizată, puteți stoca acolo un singur piper pentru toți utilizatorii. În caz contrar, trebuie să utilizați un fișier obișnuit, așa că setați permisiunile de acces în mod corespunzător.
În unele cazuri, este posibil să aveți un ardei per utilizator. Pentru asta, de obicei, nu puteți utiliza un HSM sau o enclavă securizată, deoarece veți avea prea multe intrări pentru aceasta și, de asemenea, va trebui să stocați ce utilizator merge cu ce ardei. Deci, ar putea face lucrurile mai puțin sigure în loc să fie mai sigure.
Sărurile sunt non-secrete prin definiție. Stocați sarea în aceeași bază de date cu hash-ul numelui de utilizator și al parolei.Pentru toate funcțiile curente de hashing a parolelor, sarea face parte din rezultatul algoritmului de hashing a parolei și, prin urmare, nu are nevoie de o coloană separată a bazei de date.
Indiferent de ceea ce faceți, asigurați-vă că aveți o modalitate de a face backup și de a restabili ardeii. La urma urmei, nu va fi susținut de copiile de rezervă ale bazei de date! Dacă s-a pierdut, utilizatorii dvs. nu se pot conecta. Amintiți-vă că securitatea este o combinație de confidențialitate, integritate și disponibilitate, așa că nu lăsați ardeiul să devină un singur punct de eșec.
